XSS攻击的介绍及防御

最新推荐文章于 2022-12-20 15:19:37 发布
最新推荐文章于 2022-12-20 15:19:37 发布
阅读量665 收藏
点赞数
分类专栏: Java

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。

http://flyingsnail.blog.51cto.com/5341669/1335997



 

前两天QA提上来一个问题,说是页面上会弹出框来。本以为是我的测试JS代码忘记删掉了,后来再看才发现是有人提交测试评论时,故意协商了JS代码,页面直接解析该JS就有弹出框了,代码如下:

    <script>alert("1")</script>

     后来在网上一搜才知道这个叫做XSS攻击,即(Cross Site Scripting) 跨站脚本攻击。是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。

 

    假如有下面一个textbox

    <input type="text" name="address1" value="value1from">

    value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成

     <input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">

    嵌入的JavaScript代码将会被执行

    或者用户输入的是  "οnfοcus="alert(document.cookie)      那么就会变成 

    <input type="text" name="address1" value="" οnfοcus="alert(document.cookie)">

     事件被触发的时候嵌入的JavaScript代码将会被执行

     攻击的威力,取决于用户输入了什么样的脚本

    对它的介绍在一下链接中介绍的很详细,可惜主要讲的是ASP.NET的,不是JAVA的。但是原理是一样的。

    http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html

    XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。以下链接介绍的是一个老外写的JAVA类,

    http://josephoconnell.com/java/xss-html-filter/

    另外还找到一篇文章介绍了两个类似的JAVA类:

    http://www.myhack58.com/Article/html/3/7/2008/18645.htm

    使用起来很简单,就是后台在接收到提交信息后,调用下该类的filter方法,进行一下替换,得到安全的内容。

    当然,以上介绍的都是后台处理的方式,前端也可以处理,同样是替换,但是不够友好型。以下网站就介绍了一段JS过滤XSS攻击的方法:

    http://blog.csdn.net/a0820010401/article/details/9169131

 

    哎!码农真的不是这么好做的啊,很多代码都是不安全的,要做完全的防范啊!不然,用户信息轻易的就被弄走了!

BMW-88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
8、XSS 攻击的防御pdf资料
最新发布
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
XSS***的介绍防御
weixin_34090643的博客
12-04 70
前两天QA提上来一个问题,说是页面上会弹出框来。本以为是我的测试JS代码忘记删掉了,后来再看才发现是有人提交测试评论时,故意协商了JS代码,页面直接解析该JS就有弹出框了,代码如下:<script>alert("1")</script>后来在网上一搜才知道这个叫做XSS***,即(CrossSiteScripting)跨...
XSS常见攻击与防御
weixin_37478507的博客
10-26 223
XSS常见攻击与防御 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 XSS攻击案例...
XSS攻击介绍以及防御
会飞的猫的博客
05-12 280
XSS攻击介绍以及防御
XSS 漏洞介绍及其防御过程:
weixin_44809632的博客
05-22 981
XSS 介绍: 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。 XSS最大的特点就是能注入恶意的HTML/JavaScript代码到用户浏览的网页上,是因WEB应用程序对用户输入过滤不足而产生的,当用户浏览这些网页时,就会执行其中的恶意代码。由于HTML代码和客户端JavaScript脚本能在受害者主机上的浏览器任意执行,这样等同于完全控制了WEB客户端的逻辑,在这个基础上,黑客可以轻易地发起Cookie窃取,会话劫持,钓鱼欺骗等各种各样的攻击。 二 XSS分类: 1.反射型XSS
预防XSS***
weixin_34025051的博客
03-26 129
开发时间 2016-03-02日项目地点:深圳开发人员 yekang在web.xml中配置过滤器<!-- <filter><filter-name>XSSFilter</filter-name><filter-class> com.palic.elis.ceis.common.filter.XssFilter...
XSS的攻击及防御代码的简单演示
04-25
XSS(Cross-Site Scripting)是一种常见的网络安全...通过理解和实践这些防御措施,开发者能够提高Web应用的安全性,保护用户免受XSS攻击的危害。同时,定期进行安全性审计和代码审查也是确保Web应用安全的重要环节。
web安全之XSS攻击防御pdf
08-25
### Web安全之XSS攻击防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
xss防御之php利用httponly防xss攻击
10-26
例如,反射型XSS和DOM型XSS攻击往往不依赖于Cookie,因此除了使用HttpOnly之外,还需要通过其他安全措施来全面防御XSS攻击,比如内容安全策略(CSP)、输入验证、输出编码等。此外,由于Web浏览器和服务器实现的差异...
XSS***防范
weixin_33920401的博客
03-06 288
背景今天突然接到公司安全部门发来的邮件。说:网站有XSS注入***漏洞,得修复一下。之前也只是对这个有个概念上的理解,知道XSS有反射型XSS、存储型XSS和DOM型XSS。对它到底会造成什么破坏还是没有什么理解。直到这次安全部门发来了我登录我们后台的cookie,我才明白了这个***好牛逼。他们用的是存储型的XSS,把它们的坏脚本直接植入到了我们的数据库里去了,后台审核他们...
Web 安全之 CSRF 攻击
qq_43645678的博客
11-30 463
Web 安全之 CSRF 攻击
pikachu之XSS分类、场景(钓鱼、盲打、过滤)
m0_59856804的博客
12-20 1294
Xss pikachu 保存型xss 反射型、DOM型 xss钓鱼 Xss盲打 XSS过滤 XSS之htmlspecialchars Htmlspecialchars()函数 XSS之href输出 防范措施: 21
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8486
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
XSS攻击
weixin_46015266的博客
10-16 268
XSS是什么 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSS。 一、XSS注入的方法: 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字
防御XSS的七条原则
收集盒 Book box
09-06 1018
前言 author: shineforyou 本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依
XSS的两种攻击方式及五种防御方式
weixin_36135696的博客
01-06 3416
XSS介绍 跨站脚本攻击指的是自己的网站运行了别的网站里面的代码 攻击原理是原本需要接受数据但是一段脚本放置在了数据中: 该攻击方式能做什么? 获取页面数据 获取Cookies 劫持前端逻辑 发送请求到攻击者自己的网站实现资料的盗取 偷取网站任意数据 偷取用户密码和登陆状态 改变按钮的逻辑 XSS攻击类型 其实XSS的种类非常的多尤其是变种的特别多,大致可以分...
XSS 防御方法总结
weixin_33932129的博客
08-03 2778
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
Javascript伪协议XSS攻击实例与防御
这种特性既可以用于实现动态网页效果,也可能成为XSS攻击的入口。 XSS漏洞通常发生在用户界面的交互环节,当网站接收用户输入并将其插入到HTML文档中时,恶意的javascript代码可能会被执行。在本节中提到的一个常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值